یک گروه هکری از تکنیکی به نام ربودن RID استفاده میکند که ویندوز را فریب میدهد تا یک حساب کاربری با امتیاز پایین را به عنوان حساب کاربری با مجوزهای سرپرست تلقی کند.
هکرها از یک فایل مخرب سفارشی و یک ابزار منبع باز برای حمله ربایی استفاده کردند. هر دو ابزار میتوانند این حمله را انجام دهند، اما محققان شرکت امنیت سایبری کرهجنوبی AhnLab میگویند که تفاوتهایی وجود دارد.
چگونه RID hijacking کار میکند
شناسه نسبی (RID) در ویندوز بخشی از شناسه امنیتی (SID) است، یک برچسب منحصر به فرد که به هر حساب کاربری اختصاص داده میشود تا بین آنها تمایز قائل شود.
RID میتواند مقادیری را دریافت کند که سطح دسترسی حساب را نشان میدهد، مانند «500» برای مدیران، «501» برای حسابهای مهمان، «1000» برای کاربران عادی و «512» برای گروه سرپرستان دامنه.
ربودن RID زمانی اتفاق میافتد که مهاجمان RID یک حساب کاربری با امتیاز پایین را برای مطابقت با ارزش یک حساب مدیر تغییر میدهند و ویندوز به آن دسترسی بالاتری میدهد.
با این حال، انجام حمله مستلزم دسترسی به رجیستری SAM است، بنابراین هکرها باید ابتدا سیستم را نقض کرده و به SYSTEM دسترسی پیدا کنند.
آندریل حمله میکند
محققان ASEC، مرکز اطلاعات امنیتی AhnLab، این حمله را به گروه تهدید Andariel نسبت میدهند که با گروه هکر Lazarus کرهشمالی مرتبط است.
حملات با دسترسی Andariel به SYSTEM روی هدف از طریق بهرهبرداری از یک آسیبپذیری آغاز میشود.
هکرها با استفاده از ابزارهایی مانند PsExec و JuicyPotato برای راهاندازی یک خط فرمان در سطح سیستم، به تشدید اولیه دست مییابند.
اگرچه دسترسی SYSTEM بالاترین سطح در ویندوز است، اما اجازه دسترسی از راه دور را نمیدهد، نمیتواند با برنامههای رابط کاربری گرافیکی تعامل داشته باشد، بسیار پر سر و صدا است و احتمالاً شناسایی میشود و نمیتواند بین راهاندازی مجدد سیستم باقی بماند.
برای رفع این مشکلات، Andariel ابتدا با استفاده از دستور «net user» و افزودن کاراکتر «$» در پایان، یک کاربر محلی پنهان و کم امتیاز ایجاد کرد.
با انجام این کار، مهاجم اطمینان حاصل کرد که حساب از طریق دستور "net user" قابل مشاهده نیست و فقط در رجیستری SAM قابل شناسایی است. سپس آنها ربودن RID را برای افزایش مجوزهای مدیریت انجام دادند.
به گفته محققان، Andariel حساب کاربری خود را به گروه کاربران و مدیران دسکتاپ از راه دور اضافه کرده است.
ربودن RID مورد نیاز برای این کار از طریق اصلاحات رجیستری مدیریت حساب امنیتی (SAM) امکانپذیر است از بدافزار سفارشی و یک ابزار متن باز برای انجام تغییرات استفاده میکند.
اگرچه دسترسی SYSTEM اجازه ایجاد مستقیم حساب مدیر را میدهد، بسته به تنظیمات امنیتی ممکن است محدودیتهای خاصی اعمال شود. افزایش امتیازات حسابهای معمولی بسیار پنهانتر و سختتر است که شناسایی و متوقف شود.
Andariel در ادامه تلاش میکند تا مسیرهای خود را با صادر کردن تنظیمات رجیستری اصلاح شده، حذف کلید و حساب سرکش و سپس ثبت مجدد آن از یک نسخه پشتیبان ذخیرهشده، پوشش دهد و امکان فعالسازی مجدد را بدون نمایش در گزارشهای سیستم فراهم کند.
برای کاهش خطرات حملات ربودن RID، مدیران سیستم باید از سرویس زیرسیستم مرجع امنیت محلی (LSA) برای بررسی تلاشهای ورود به سیستم و تغییرات رمز عبور و همچنین جلوگیری از دسترسی غیرمجاز و تغییرات در رجیستری SAM استفاده کنند.
همچنین توصیه میشود اجرای PsExec، JuicyPotato و ابزارهای مشابه را محدود کنید، حساب Guest را غیرفعال کنید و از تمام حسابهای موجود، حتی با امتیاز پایین، با احراز هویت چند مرحلهای محافظت کنید.
شایان ذکر است که ربودن RID حداقل از سال 2018 شناخته شده است، زمانی که محقق امنیتی سباستین کاسترو حمله در DerbyCon 8 را به عنوان یک تکنیک پایدار در سیستم های ویندوز ارائه کرد.
منبع
bleepingcomputer